Debians sikkerhedsbulletin

DSA-1371-1 phpwiki -- flere sårbarheder

Rapporteret den:
11. sep 2007
Berørte pakker:
phpwiki
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 429201, Fejl 441390.
I Mitres CVE-ordbog: CVE-2007-2024, CVE-2007-2025, CVE-2007-3193.
Yderligere oplysninger:

Flere sårbarheder er opdaget i phpWiki, en wikimaskine skrevet i PHP. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

  • CVE-2007-2024

    Man har opdaget at phpWiki udførte utilstrækkelig kontrol af filnavne, hvilket muliggjorde ukontrolleret oplægning af filer.

  • CVE-2007-2025

    Man har opdaget at phpWiki udførte utilstrækkelig kontrol af filnavne, hvilket muliggjorde ukontrolleret oplægning af filer.

  • CVE-2007-3193

    Hvis opsætningen mangler et PASSWORD_LENGTH_MINIMUM, som er forskelligt fra nul, kunne phpWiki måske gøre det muligt for fjernangribere at omgå autentificering gennem en tom adgangskode, hvilket fik ldap_bind til at returnere true med visse LDAP-implementeringer.

Den gamle stabile distribution (sarge) indeholder ikke phpwiki-pakker.

I den stabile distribution (etch) er disse problemer rettet i version 1.3.12p3-5etch1.

I den ustabile distribution (sid) er disse problemer rettet i version 1.3.12p3-6.1.

Vi anbefaler at du opgraderer din phpwiki-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.dsc
http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.diff.gz
http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.